Ik ben vandaag tegen een nogal ernstig datalek aangelopen en ik vraag me af hoe ik hier het beste mee om kan gaan.
Het verhaal:
Ik heb van de week bij een retailer met vestigingen in heel het land een product gekocht, dus ik kreeg gisteravond een mail met de informatie van: "Hier kun je inloggen om de orderstatus te bekijken". Verheugd klik ik meteen op de link... krijg je zo'n standaard inlogpagina en een registreer knop. Ik dus registreren, ingelogd, maar ik zag mijn order niet. Vreemd. Vervolgens de mail nog eens goed doorgelezen, bleek dat ik met mijn email en het order nummer als wachtwoord in moest loggen. Dus ik dat geprobeerd: wachtwoord onjuist. Wat niet gek is, want ik heb met dat emailadres zojuist een nieuw account aangemaakt. Helaas kon je dat account ook niet verwijderen.
Maar goed, ik geef natuurlijk niet meteen op. Dus ik even gekeken of ik iets met die order pagina kon om ergens een order nummer te veranderen zodat ik toch mijn order kon bekijken. Ik was tenslotte wel ingelogd met het juiste emailadres. Dus ik de link van de pagina met het order overzicht eruit gevist en in de adresbalk geplakt. Stond niet direct iets van een ordernummer, maar wel een klantnummer in. Gezocht in de mail en op de factuur, maar daar is geen klantnummer vermeld. Ik heb net die mail gehad, savonds laat, dus als mijn juiste account met een net iets lager (opvolgend) klantnummer ook net aangemaakt is dan zou ik die vrij snel moeten kunnen vinden. Dus ik pas dat klantnummer aan... zie ik in een keer de gegevens van een random klant! Maar dat niet alleen, blijkbaar ben ik ook ineens ingelogd als die andere klant... ik kan dus lekker rondklikken en persoonlijke gegevens inzien, en zelfs gewoon wijzigen! Dat betekent ook het wijzigen van een toekomstig leveradres waar een aanbetaling van soms duizenden euro's op is gedaan. Het openen van die link kan zelfs zónder daadwerkelijk account op die site (bijv. in een incognito tabblad).
Dus een aantal nummers geprobeerd maar op de een of andere manier zag ik bij niemand een order. Ik wist dat mijn ouders daar ook iets hadden besteld, dus ik even ingelogd met gegevens van hun en daar zag ik inderdaad een order staan! Het viel me op dat mijn ouders in een totaal andere klantnummer range vielen dan ik had met mijn zojuist aangemaakte account. De verklaring ligt voor de hand: Het account van mijn ouders betreft een account die in de fysieke winkel was aangemaakt, die van mij via de webwinkel. Dat was ook waarom ik mijn order niet zag. Toen ben ik op zoek gegaan naar het hoogste klantnummer van dat moment. Deze klant had een order met een ordernummer vrij dicht in de buurt van die van mij. Aan de hand van inklemmen een aantal nummers geprobeerd en jawel hoor! Daar was mijn order
. Doel bereikt, maar wel op een manier die me behoorlijk versteld deed staan.
En nu?
Dit moet ik natuurlijk melden. Het lek is van zo'n dergelijke aard dat er flink wat schade aangericht kan worden. Het is werkelijk niet meer dan het schrijven van een crawler die een voor een de klantnummers afloopt en je hebt een 100% kopie van hun complete order database.
Ik heb dit op het werk eens besproken en een collega kende iemand die bij die zaak wat hoger in de boom zat, maar niet direct verantwoordelijk voor IT. Ik heb via deze collega een bericht gestuurd met de melding dat "een collega een ernstig datalek heeft gevonden". Reactie hierop laat tot dusver nog op zich wachten. Het is alleen wel belangrijk dat ze dit lek niet even snel repareren en vervolgens onder de mat schuiven. Zou ik dit tegelijk met de melding bij de retailer ook moeten melden bij de Autoriteit Persoonsgegevens?
Daarbij geven vrienden aan: "Je bent gek als je niet zorgt dat je je bestelling voor niks krijgt!" en "Je had met die informatie ook naar de concurrent kunnen gaan!". Nou verwacht ik niet direct een beloning voor deze vondst, maar misschien is een compensatie voor mijn tijd die ik erin heb gestopt in het verder uitzoeken, het melden en het datalek uit te leggen aan personen binnen de organisatie wel op zijn plaats. Hoe denken jullie hierover? Vinden jullie dit terecht? Vergeet niet dat ik ook klant ben bij deze winkel en mijn eigen gegevens ook op straat liggen.
Het verhaal:
Ik heb van de week bij een retailer met vestigingen in heel het land een product gekocht, dus ik kreeg gisteravond een mail met de informatie van: "Hier kun je inloggen om de orderstatus te bekijken". Verheugd klik ik meteen op de link... krijg je zo'n standaard inlogpagina en een registreer knop. Ik dus registreren, ingelogd, maar ik zag mijn order niet. Vreemd. Vervolgens de mail nog eens goed doorgelezen, bleek dat ik met mijn email en het order nummer als wachtwoord in moest loggen. Dus ik dat geprobeerd: wachtwoord onjuist. Wat niet gek is, want ik heb met dat emailadres zojuist een nieuw account aangemaakt. Helaas kon je dat account ook niet verwijderen.
Maar goed, ik geef natuurlijk niet meteen op. Dus ik even gekeken of ik iets met die order pagina kon om ergens een order nummer te veranderen zodat ik toch mijn order kon bekijken. Ik was tenslotte wel ingelogd met het juiste emailadres. Dus ik de link van de pagina met het order overzicht eruit gevist en in de adresbalk geplakt. Stond niet direct iets van een ordernummer, maar wel een klantnummer in. Gezocht in de mail en op de factuur, maar daar is geen klantnummer vermeld. Ik heb net die mail gehad, savonds laat, dus als mijn juiste account met een net iets lager (opvolgend) klantnummer ook net aangemaakt is dan zou ik die vrij snel moeten kunnen vinden. Dus ik pas dat klantnummer aan... zie ik in een keer de gegevens van een random klant! Maar dat niet alleen, blijkbaar ben ik ook ineens ingelogd als die andere klant... ik kan dus lekker rondklikken en persoonlijke gegevens inzien, en zelfs gewoon wijzigen! Dat betekent ook het wijzigen van een toekomstig leveradres waar een aanbetaling van soms duizenden euro's op is gedaan. Het openen van die link kan zelfs zónder daadwerkelijk account op die site (bijv. in een incognito tabblad).
Dus een aantal nummers geprobeerd maar op de een of andere manier zag ik bij niemand een order. Ik wist dat mijn ouders daar ook iets hadden besteld, dus ik even ingelogd met gegevens van hun en daar zag ik inderdaad een order staan! Het viel me op dat mijn ouders in een totaal andere klantnummer range vielen dan ik had met mijn zojuist aangemaakte account. De verklaring ligt voor de hand: Het account van mijn ouders betreft een account die in de fysieke winkel was aangemaakt, die van mij via de webwinkel. Dat was ook waarom ik mijn order niet zag. Toen ben ik op zoek gegaan naar het hoogste klantnummer van dat moment. Deze klant had een order met een ordernummer vrij dicht in de buurt van die van mij. Aan de hand van inklemmen een aantal nummers geprobeerd en jawel hoor! Daar was mijn order
. Doel bereikt, maar wel op een manier die me behoorlijk versteld deed staan.En nu?
Dit moet ik natuurlijk melden. Het lek is van zo'n dergelijke aard dat er flink wat schade aangericht kan worden. Het is werkelijk niet meer dan het schrijven van een crawler die een voor een de klantnummers afloopt en je hebt een 100% kopie van hun complete order database.
Ik heb dit op het werk eens besproken en een collega kende iemand die bij die zaak wat hoger in de boom zat, maar niet direct verantwoordelijk voor IT. Ik heb via deze collega een bericht gestuurd met de melding dat "een collega een ernstig datalek heeft gevonden". Reactie hierop laat tot dusver nog op zich wachten. Het is alleen wel belangrijk dat ze dit lek niet even snel repareren en vervolgens onder de mat schuiven. Zou ik dit tegelijk met de melding bij de retailer ook moeten melden bij de Autoriteit Persoonsgegevens?
Daarbij geven vrienden aan: "Je bent gek als je niet zorgt dat je je bestelling voor niks krijgt!" en "Je had met die informatie ook naar de concurrent kunnen gaan!". Nou verwacht ik niet direct een beloning voor deze vondst, maar misschien is een compensatie voor mijn tijd die ik erin heb gestopt in het verder uitzoeken, het melden en het datalek uit te leggen aan personen binnen de organisatie wel op zijn plaats. Hoe denken jullie hierover? Vinden jullie dit terecht? Vergeet niet dat ik ook klant ben bij deze winkel en mijn eigen gegevens ook op straat liggen.
:strip_icc():strip_exif()/u/233732/crop63c0077204b8d_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/344847/crop5e5da42bc392b_cropped.jpeg?f=community)
/u/417613/crop5df91c60a28d2.png?f=community)
Verdien je een beloning: geen idee, dat ligt aan die retailer of die daar zin in heeft.
/u/38782/crop6146c7a29805d_cropped.png?f=community)
:strip_exif()/u/32979/ksw.gif?f=community)
/u/85926/sheldon.png?f=community)
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community)
:strip_exif()/u/4143/crop673c629560e43_cropped.gif?f=community)
/u/693196/crop592daf0105db9_cropped.png?f=community)
:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community)
:strip_icc():strip_exif()/u/154963/crop659be07d13f5a_cropped.jpg?f=community)
/u/1702/crop6457f8805fee9.png?f=community)
:strip_icc():strip_exif()/u/140697/crop6180fb9103afa_cropped.jpg?f=community)
:strip_exif()/u/42138/IpodFoetusAvatar.gif?f=community){kind=avatar}
/u/1409/furtvgast%2520verkleind.png?f=community)
''
Want je snijdt je zelf in de vingers als niet alleen deze Tweakers, maar ook de desbetreffende bedrijven er zo over denken.
?
:strip_exif()/u/3157/sail4L_S70.gif?f=community)